热门2D平台游戏《方块冲击波》一次看似无害的补丁更新,已演变成一场复杂的恶意软件攻击活动,使数百名Steam用户面临数据被盗和系统受损的风险。
2025年8月30日部署的这个恶意补丁表明,威胁行为者正越来越多地利用游戏生态系统来分发信息窃取恶意软件,而用户却对正在发生的入侵一无所知。
《方块爆破手》由创世互动公司开发,最初于2025年7月31日发布,在成为Steam平台上日益增多的游戏感染事件中的最新受害者之前,已获得游戏社区的好评。
恶意的Build 19799326补丁包含多个表现出危险行为的文件,将看似常规的游戏更新变成了一场多阶段攻击,能够窃取敏感的用户数据,包括加密货币钱包信息、浏览器凭证和Steam登录详情。
G Data的分析师们在其MXDR平台标记出该游戏补丁文件中的可疑活动后,发现了这一恶意软件攻击活动。
安全研究人员发现,威胁行为者已成功绕过Steam的初始安全筛查,这使得恶意更新得以部署,可能会影响到数百名在其系统上安装了该游戏的玩家。
这一事件遵循了针对Steam游戏的类似攻击的令人担忧的模式,其中包括著名的PirateFi和Chemia案例,凸显了该平台在应对此类复杂渗透尝试时持续存在的脆弱性。
此次攻击标志着以游戏为目标的恶意软件活动显著升级,因为威胁行为者不断改进其通过合法软件分发渠道传播恶意载荷的技术。
这一事件因其多阶段的感染过程以及所针对的敏感数据范围而尤为突出,使其成为一场全面的信息窃取行动,而非简单的恶意软件安装。
技术感染机制与有效载荷交付
BlockBlasters恶意软件通过复杂的三阶段感染机制运作,其始于一个看似无害、名为game2.bat的批处理文件的执行。
这一初始有效载荷执行多项侦察功能,包括通过查询“ipinfo[.]io”和“ip[.]me”等合法服务来收集IP和位置信息,同时检测已安装的防病毒产品,以评估目标环境的安全态势。
该批处理文件的主要功能是收集Steam登录凭证,包括SteamID、AccountName、PersonaName和RememberPassword数据,然后将这些数据上传至位于hxxp://203[.]188[.]171[.]156:30815/upload的命令和控制服务器。
该恶意软件使用密码为“121”的受密码保护的ZIP压缩包来隐藏其在下载过程中的有效载荷,从而有效规避初始检测机制。
在成功完成环境评估后,恶意软件会部署VBS加载器脚本(launch1.vbs和test.vbs),这些脚本会执行额外的批处理文件,同时通过隐藏控制台执行来保持隐蔽性。
test.bat组件专门针对浏览器扩展程序和加密货币钱包数据,这表明该活动的重点是高价值金融信息。
最后阶段涉及两个主要有效载荷的部署:Client-built2.exe,这是一个Python编译的后门程序,用于与C2基础设施建立持久通信;以及Block1.exe,其中包含StealC信息窃取器。
该恶意软件有策略地将其执行目录添加到Microsoft Defender的排除列表中,使用的路径为Drive:\SteamLibrary\steamapps\common\BlockBlasters\Engine\Binaries\ThirdParty\Ogg\cwe\,以确保其持续运行而不会触发安全警报。
StealC组件针对多种浏览器,包括谷歌浏览器、勇敢浏览器和微软Edge浏览器,它会访问这些浏览器各自的Local State文件,以提取存储的凭据和敏感信息。
这种恶意软件使用已弃用的RC4加密来混淆其API调用和关键字符串,并连接到位于hxxp://45[.]83[.]28[.]99的次级C2服务器以执行数据窃取操作,这体现了该攻击活动采用分布式基础设施来维护操作安全的策略。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
